近期,國(guó)家互聯(lián)網(wǎng)信息辦公室向社會(huì)公開(kāi)征求意見(jiàn)的《數(shù)據(jù)安全管理辦法(征求意見(jiàn)稿)》中,第二十條規(guī)定,“網(wǎng)絡(luò)運(yùn)營(yíng)者保存?zhèn)€人信息不應(yīng)超出收集使用規(guī)則中的保存期限。”同時(shí),2018年5月1日實(shí)施的國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(GB/T 35273-2017),也對(duì)個(gè)人信息保存期限提出要求:“個(gè)人信息保存期限應(yīng)為實(shí)現(xiàn)目的所必需的最短時(shí)間”。
但在實(shí)際工作中,如何判定個(gè)人信息保存的最小期限的確是一個(gè)難題。對(duì)此,中國(guó)金融認(rèn)證中心(CFCA)信息安全團(tuán)隊(duì)基于工作實(shí)踐給出如下建議:
從國(guó)家標(biāo)準(zhǔn)的角度出發(fā),個(gè)人信息保存期限應(yīng)為實(shí)現(xiàn)目的所必需的最短時(shí)間,即個(gè)人信息的保存期限不能超過(guò)實(shí)現(xiàn)目的所需的最短時(shí)間。
實(shí)現(xiàn)目的所必需的最短時(shí)間可以從兩方面進(jìn)行考慮:
?如果法律法規(guī)或行業(yè)監(jiān)管對(duì)信息保存期限有要求,要遵守該保存期限的要求;
?政策監(jiān)管無(wú)具體要求的,可以是業(yè)務(wù)應(yīng)用所需的最低時(shí)限。
個(gè)人信息保存期限判定的一般流程如下圖所示:
個(gè)人信息保存期限判定流程圖
個(gè)人信息保存期限,原則上不超過(guò)各種法律法規(guī)、行業(yè)監(jiān)管、其他規(guī)章中的保存時(shí)間要求以及業(yè)務(wù)所必需的時(shí)間,以此來(lái)確定最小化保存期限。
>>>>法律、行政法規(guī)
1.《中華人民共和國(guó)網(wǎng)絡(luò)安全法》
2017年6月1日起施行的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條規(guī)定,“采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月。”依據(jù)此條款,包含個(gè)人信息的相關(guān)網(wǎng)絡(luò)日志至少需要保存六個(gè)月。
2.《中華人民共和國(guó)電子商務(wù)法》
2019年1月1日起施行的《中華人民共和國(guó)電子商務(wù)法》第三十一條規(guī)定,“商品和服務(wù)信息、交易信息保存時(shí)間自交易完成之日起不少于三年。”依據(jù)此條款,對(duì)于電子商務(wù)平臺(tái)經(jīng)營(yíng)者來(lái)說(shuō),包含個(gè)人信息的交易信息保存期限應(yīng)該不少于三年。
3.《征信業(yè)管理?xiàng)l例》
2013年3月15日起施行的《征信業(yè)管理?xiàng)l例》第十六條規(guī)定,“征信機(jī)構(gòu)對(duì)個(gè)人不良信息的保存期限,自不良行為或者事件終止之日起為5年;超過(guò)5年的,應(yīng)當(dāng)予以刪除。”依據(jù)此條款,對(duì)于個(gè)人不良信息保存期限超過(guò)5年的應(yīng)予以刪除。
>>>>行業(yè)監(jiān)管
不同行業(yè)對(duì)于個(gè)人信息的保存期限有不同的要求,各行業(yè)要根據(jù)自身行業(yè)性質(zhì)梳理本行業(yè)的監(jiān)管要求。
1.金融行業(yè):《金融機(jī)構(gòu)客戶(hù)身份識(shí)別和客戶(hù)身份資料及交易記錄保存管理辦法》
該管理辦法由中國(guó)人民銀行、原中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)、中國(guó)證券監(jiān)督管理委員會(huì)和原中國(guó)保險(xiǎn)監(jiān)督管理委員會(huì)制定,要求客戶(hù)身份信息,自業(yè)務(wù)關(guān)系結(jié)束當(dāng)年或者一次性交易記賬當(dāng)年計(jì)起至少保存5年。其中也規(guī)定了“如客戶(hù)身份資料和交易記錄涉及正在被反洗錢(qián)調(diào)查的可疑交易活動(dòng),且反洗錢(qián)調(diào)查工作在前款規(guī)定的最低保存期屆滿(mǎn)時(shí)仍未結(jié)束的,金融機(jī)構(gòu)應(yīng)將其保存至反洗錢(qián)調(diào)查工作結(jié)束”。
2.醫(yī)療行業(yè):《醫(yī)療機(jī)構(gòu)管理?xiàng)l例實(shí)施細(xì)則》
2017年4月1日起施行的《國(guó)家衛(wèi)生計(jì)生委關(guān)于修改〈醫(yī)療機(jī)構(gòu)管理?xiàng)l例實(shí)施細(xì)則〉的決定》第五十三條要求,“醫(yī)療機(jī)構(gòu)的門(mén)診病歷的保存期不得少于十五年;住院病歷的保存期不得少于三十年。”作為醫(yī)療機(jī)構(gòu)的個(gè)人信息保管者,要參考此條確定最小化保存期限。
3.房地產(chǎn)行業(yè):《房地產(chǎn)經(jīng)紀(jì)管理辦法》
2011年4月1日起施行的《房地產(chǎn)經(jīng)紀(jì)管理辦法》第二十六條規(guī)定,“房地產(chǎn)經(jīng)紀(jì)機(jī)構(gòu)應(yīng)當(dāng)保存房地產(chǎn)經(jīng)紀(jì)服務(wù)合同,保存期不少于5年。”房地產(chǎn)行業(yè)要參照此辦法確定最小化保存期限。
>>>>其他規(guī)章
其他規(guī)章一般是指有規(guī)章制定權(quán)的行政機(jī)關(guān)依照法定程序決定并以法定方式對(duì)外公布的具有普遍約束力的規(guī)范性文件,個(gè)人信息保存期限的最小化要符合相關(guān)規(guī)章的要求。
>>>>業(yè)務(wù)必需
個(gè)人信息處理活動(dòng)需在個(gè)人信息主體明示同意的前提下進(jìn)行,需在合法、正當(dāng)、必要、明確的情況下進(jìn)行。個(gè)人信息主體未明確要求對(duì)個(gè)人信息進(jìn)行刪除,且法律法規(guī)無(wú)保存期限要求的情況下,按照業(yè)務(wù)實(shí)現(xiàn)目的所必需的最短時(shí)間來(lái)保存?zhèn)€人信息。
綜上,應(yīng)按照以上幾方面的原則和規(guī)定來(lái)判定個(gè)人信息保存的最短期限,超出個(gè)人信息保存期限后,運(yùn)營(yíng)者應(yīng)對(duì)個(gè)人信息進(jìn)行刪除或匿名化處理。
CFCA信息安全團(tuán)隊(duì)在銀行、醫(yī)療、互聯(lián)網(wǎng)等多個(gè)行業(yè)具有數(shù)據(jù)安全、個(gè)人信息安全方面的咨詢(xún)與評(píng)估服務(wù)案例,可為各行業(yè)持續(xù)增強(qiáng)數(shù)據(jù)安全保護(hù)能力提供堅(jiān)實(shí)的支撐。
